WireGuard와 IP 설계: 서브넷과 충돌 방지

개요

WireGuard는 설정이 간단하고 성능이 좋은 VPN으로 널리 쓰인다. 다만 작은 실수로도 IP 충돌이나 라우팅 누락이 발생하기 쉽다. 따라서 WireGuard 서브넷 설계와 IP 할당 원칙을 먼저 정해두면 운영 부담을 크게 줄일 수 있다. 본문은 처음 접하는 사람도 이해할 수 있도록 서브넷 개념부터 충돌 해결 방법까지 차근히 설명한다.

기본 개념 정리

서브넷과 CIDR의 이해

서브넷은 네트워크를 논리적으로 나눈 단위다. CIDR 표기법(/24, /30 등)은 네트워크 크기를 결정한다. WireGuard 엔드포인트나 피어 모두 고유한 가상 IP를 가진다. 따라서 서브넷 크기와 피어 수를 먼저 산정해야 한다.

라우팅과 NAT의 차이

VPN 내에서 트래픽을 전달할 때 라우팅만으로 충분한지 또는 NAT가 필요한지 판단한다. 내부 네트워크와 연동할 경우 라우팅 표에 해당 서브넷을 추가해야 한다. 인터넷 출구를 통합하려면 NAT 규칙을 적용할 수 있다.

서브넷 설계 원칙

• 독립된 주소 공간 사용: 사설 대역(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 중 한 구역을 프로젝트별로 나눈다.
• 충돌 가능성 최소화: 기존 인프라와 중복되지 않는 서브넷을 우선 선택한다.
• 성장 여유 반영: 초기 피어 수보다 여유 있는 서브넷 크기를 할당한다.
• 역할별 분리: 서버, 클라이언트, 관리망 등 역할에 따라 서브넷을 분리한다.
• 명명 규칙 적용: 서브넷별 설명과 목적을 문서화한다.

주소 계획 예시

간단한 토폴로지 기준으로 예제를 제시한다. 중앙 게이트웨이(10.10.0.1/24)와 여러 클라이언트(10.10.0.10~254)를 두는 구조다. 관리 전용은 별도 10.20.0.0/24로 분리한다.

wg0.conf 예시

[Interface]
Address = 10.10.0.1/24
PrivateKey = SERVER_PRIVATE_KEY
ListenPort = 51820

[Peer]
PublicKey = PEER1_PUBLIC_KEY
AllowedIPs = 10.10.0.10/32

[Peer]
PublicKey = PEER2_PUBLIC_KEY
AllowedIPs = 10.10.0.11/32

피어에는 /32 단위로 IP를 할당해 충돌 가능성을 줄인다. 내부 라우팅이나 다른 VPN과 병행할 경우 AllowedIPs를 신중히 설정한다.

충돌 방지와 문제 해결

충돌은 주로 두 가지 경우에서 발생한다. 하나는 기존 네트워크와 서브넷이 겹칠 때, 다른 하나는 피어 간 중복 IP 할당이다. 문제를 빠르게 진단하려면 우선 IP 및 라우팅 상태를 확인한다.

진단 명령과 체크 포인트

• 현재 인터페이스와 IP 확인: ip addr show
• 라우팅 테이블 확인: ip route show
• WireGuard 상태 확인: wg show
• 피어 간 통신 검증: ping 또는 traceroute

# 인터페이스와 경로 확인
ip addr show wg0
ip route show
#wg 상태 확인
wg show

만약 두 네트워크가 겹친다면 한 쪽을 NAT 처리하거나 서브넷을 재설계해야 한다. 재설계가 불가능한 환경이면 소규모 프락시나 NAT으로 우회하는 것이 현실적인 대안이다.

실무 체크리스트

• 사용 중인 모든 네트워크 대역 목록화
• WireGuard 전용 주소 풀 확보
• 피어별 /32 할당과 문서화
• AllowedIPs는 최소 범위로 제한
• 라우팅 변경 시 영향 범위 사전 확인
• 모니터링으로 IP 충돌 알림 설정

마무리 요약

WireGuard 서브넷 설계는 단순해 보이지만 사전 계획이 없으면 운영 중 문제가 자주 발생한다. WireGuard 서브넷 설계 단계에서 주소 풀을 확보하고, 피어별 고유 IP를 할당하며, 라우팅과 NAT 요구를 명확히 하면 충돌을 예방할 수 있다. 또한 운영 중에는 정기적으로 IP와 라우팅 상태를 점검해 WireGuard IP 충돌 해결을 위한 대응 시간을 단축하는 것이 중요하다.